SENA REGIONAL CESAR ESPECIALIZACION TECNOLOGICA EN SEGURIDAD DE REDES CENTRO COMM

COMO SABER A QUE SE CONECTA MI PC

Si bien existe software especializado que hace paso a paso el trabajo de tener que realizar todas las comprobaciones, no siempre se tiene acceso a l.

MI IP Lo primero es comprender que cuando un PC se conecta a internet, ya deja de ser un PC aislado o hermtico y pasa a ser un host ms dentro de la Red, es decir, desde ese mismo instante forma ya parte de toda la Red de Internet y como tal se tiene que comunicar con el resto de los dems PC. Pero ocurre que para poder comunicarse con los miles y miles de otros PC que hay en la red y no acabar enredado en el ciberespacio sin saber desde donde viene y a donde debe ir, lo primero que necesita es tener una direccin IP lgica asignada para poder identificarse del resto de los dems PC de la red. MIS PUERTOS Lo segundo es conocer que puertos tenemos, cuales estn abiertos, porque estn abiertos. De entrada lo ms recomendable para los usuarios de Windows es cerrar el puerto nmero 139 (NetBIOS), puesto que los ataques ms comunes van dirigidos a ese puerto. Esto ltimo nos va a servir por ejemplo para detectar conexiones ilegales y la existencia de troyanos en nuestra maquina. Lo que nos interesa conocer son los puertos ms comunes tal como por ejemplo: FTP: 21 TELNET: 23 SMTP: 25 DNS: 53 TFTP: 69 FINGER: 79 HTTP: 80 POP3: 110 NNTP: 119 SNMP: 161 Para saber como esta en este momento nuestra conexin a Internet, lo primero que se debe hacer es conectarnos a una web que nos har un barrido de puertos. Entrar en https://www.grc.com/x/ne.dll?bh0bkyd2, y presionar el botn PROCEED.
18-02-2010 ING. GIOVANNI BRACHO T. E3T UIS

SENA REGIONAL CESAR ESPECIALIZACION TECNOLOGICA EN SEGURIDAD DE REDES CENTRO COMM

Despus aparecer un panel, con varios botones tubulares. El que se debe presionar es el que dice All Service Ports.

Al presionar ese botn se puede apreciar cmo se escanean a continuacin todos los puertos.
18-02-2010 ING. GIOVANNI BRACHO T. E3T UIS

SENA REGIONAL CESAR ESPECIALIZACION TECNOLOGICA EN SEGURIDAD DE REDES CENTRO COMM

Si aparecen indicadores en rojo, estos indican que nuestro PC est expuesto, si aparecen en azul estn cerrados, y si aparecen en verde estn abiertos pero ocultos por lo que rechazan cualquier peticin externa. INVESTIGAR DESDE CONSOLA DE MS-DOS Hay una forma de saber si algn programa hace algo extrao y es simplemente usando MS-DOS, abrimos la pantalla del prompt (Inicio-Ejecutar cmd) y luego se escribe ipconfig.exe/all. Ah se podr observar el nombre de nuestra PC, y la respectiva direccin IP.

A continuacin cierra todos los programas que tengas en marcha; emule, MSN, etc, y solo deja el navegador de Internet en google. Teclea Ping www.google.com Anota la IP de google y tenla a la mano.
18-02-2010 ING. GIOVANNI BRACHO T. E3T UIS

SENA REGIONAL CESAR ESPECIALIZACION TECNOLOGICA EN SEGURIDAD DE REDES CENTRO COMM

Ahora vamos a averiguar que se est conectando a nuestro PC y si hay alguna IP extraa que no se corresponde con ningn tipo de peticin o servicio, es decir, no se corresponde con nada que hayamos conectado a Internet. Para eso se escribe netstat -a Entre todo lo que aparecer veras algo parecido a esto TCP MIPC:2352 bu-in-f18.google.com:http ESTABLISHED TCP MIPC:2361 bu-in-f18.google.com:http ESTABLISHED Esta es la peticin web de google que has hecho y que estas ahora controlando desde el terminal de MSDOS. OK? Bien, ya sabes que esta eso establecido por ti, pero si queremos estar algo ms tranquilos de que no hay nada ms conectado por ningn puerto sin solicitarlo, hagamos esto otro: Teclea CLS Y escribe netstat ano Y te saldr algo parecido como esto C:\Documents and Settings\J>netstat ano Conexiones activas Proto Direccin local Direccin remota Estado PID TCP XXX.XXX.X.XXX:2362 XXX.XXX.XXX.XXX:80 ESTABLISHED 820 TCP XXX.XXX.X.XXX:2367 XXX.XXX.XXX.XXX:80 ESTABLISHED 820 Si se ve alguna IP que est conectada sin haberla solicitado, es decir ver nuestra IP (Anotada) y las IP que son de google, pero te aparece alguna que no has solicitado es que algo no marcha bien. QUE SE ESTA CONECTANDO A veces puede ocurrir que en Windows se establezcan conexiones en segundo plano a sitios web, a causa de Spyware, programas que trabajan en segundo plano (por lo general los que estn en la barra de tareas) o en los peores casos virus o troyanos, esto muchas veces ocasiona que nuestra conexin a internet vaya lenta, an teniendo cerrados programas que comnmente consumen muchsimo ancho de banda, P2P, etc. Este truco tambin es muy sencillo, y utiliza un simple comando de MS-DOS para detectar actividades sospechosas. Lo mejor es cerrar todos los programas que tengamos susceptibles de conectarse a internet antes de hacer la prueba. Los pasos a seguir son los siguientes: En la lnea de comandos escribe netstat -b 5 > auditoria.txt y presiona enter. Espera 2 minutos y presiona las teclas Ctrl+C

18-02-2010

ING. GIOVANNI BRACHO T. E3T UIS

SENA REGIONAL CESAR ESPECIALIZACION TECNOLOGICA EN SEGURIDAD DE REDES CENTRO COMM

Ahora en la misma lnea de comandos se escribe auditoria.txt y presiona enter, entonces se abrir un archivo de texto. El archivo auditoria.txt contendr un registro de los procesos que estn haciendo una conexin a Internet en los ltimos 2 minutos.

Este archivo tambin muestra cuales han sido los sitios web que se conectaron los procesos. A continuacin realizamos el mismo proceso pero en vez de auditoria.txt escribimos archivo.txt, y tendremos todas las peticiones que lanza y conexiones de nuestra mquina hacia Internet. Si no tienes abierto el Internet Explorer o el Mozilla, y aparece una sesin abierta, hay una posible intromisin. Algo raro est pasando en nuestro PC y se debe investigar ms.

18-02-2010

ING. GIOVANNI BRACHO T. E3T UIS